Beschreibung: Beim Zugriff auf die Web-Konfigurationsoberflöäche einer LANCOM R&S®Unified Firewall erscheint in der Regel eine Warnung zu einem unsicheren Zertifikat, da das in der Firewall enthaltene Zertifikat selbstsigniert ist und daher nicht von einer aus Sicht des Browsers "vertrauenswürdigen Zertifizierungsstelle (CA)" stammt. Dieses Dokument beschreibt, wie diese Warnung beseitigt werden kann. Voraussetzungen:Vorgehensweise:1. Melden Sie sich an der Web-Konfigurationsoberfläche der Firewall mit administrativen Rechten an. 2. Wechseln Sie in das Menü Zertifikatsverwaltung -> → Zertifikate und klicken Sie auf die Schaltfläche "+".  Image Removed Image Added3. Passen Sie die folgenden Parameter an und klicken auf Erstellen:- Zertifikatstyp: Belassen Sie die Einstellung auf Zertifikat.
- Vorlage: Wählen Sie im Dropdownmenü die Option Certificate Authority aus.
- Common Name (CN): Vergeben Sie einen aussagekräftigen Common Name (in diesem Beispiel LANCOM CA). Dabei muss allerdings beachtet werden, dass
- Wählen Sie im Drop-Down Menü "Zertifikatstyp" des oben links eingeblendeten Fensters die Option „CA für VPN/Webserver-Zertifikate“ aus.
- Wählen Sie im Feld "Private-Key-Größe" den Wert 4096 Bit aus.
- Tragen Sie einen beliebigen Common Name ein (z.B. LANCOM CA). Bitte achten Sie jedoch darauf, das der gewählte Common Name nicht bereits in einem anderen Zertifikat verwendet wird.
- Private-Key-Passwort: Vergeben Sie ein beliebiges Private-Key-Passwort.
 Image Removed Image Added3. Klicken Sie dann auf die Schaltfläche Erstellen. 4. Erstellen Sie ein weiteres Zertifikat mit einem Klick auf die "+", passen die folgenden Parameter an und klicken auf Erstellen: - Zertifikatstyp: Belassen Sie die Einstellung auf Zertifikat.
- Vorlage: Wählen Sie im Dropdownmenü die Option Certificate aus.
- Common Name (CN): Vergeben Sie einen aussagekräftigen Common Name (in diesem Beispiel Web-GUI-Zertifkat). Dabei muss allerdings beachtet werden, dass
4. Klicken Sie erneut auf die Schaltfläche "+".Wählen Sie im Drop-Down Menü "Zertifikatstyp" des oben links eingeblendeten Fensters die Option„Webserver Zertifikat /UA client“ aus.- Wählen Sie als "Signierende CA" die CA aus Schritt 2 aus.
- Wählen Sie im Feld "Private-Key-Größe" den Wert 4096 Bit aus.
- Tragen Sie einen beliebigen Common Name ein (z.B. "WebGUI-Zertifikat"). Bitte achten Sie jedoch darauf, das der gewählte Common Name nicht bereits in einem anderen Zertifikat verwendet wird.
- Tragen Sie in den Feldern CA-Passwort und Private-Key-Passwort: Vergeben Sie ein beliebiges Private-Key-Passwort, das .
- Signierende CA: Wählen Passwort ein, welches Sie im Schritt 2 vergeben haben.Dropdownmenü die in Schritt 3. erstellte CA aus.
- CA-Passwort: Tragen Sie das in Schritt 3. vergebene Private-Key-Passwort der CA ein.
- Subject Tragen Sie im Feld „Subject Alternative Name (SAN)“mindestens : Tragen Sie die IP-Adresse des mindestens eines Management Interface ein, also z.B. -Interfaces ein (in diesem Beispiel die 192.168.1.254). Wenn Sie über andere Interfaces auf die Firewall zugreifen, können Sie diese hier zusätzlich angeben.
 Image Added Image Added Image Removed5. Klicken Die dann Sie bei der in Schritt 3. erstellten CA (in diesem Beispiel LANCOM CA) auf die Schaltfläche Erstellen.zum Zertifikat-Export.  Image Added6. Exportieren Sie das im Schritt 2 erstellte CA-Zertifikat als *.pem-Datei.  Image Removed Image RemovedWählen Sie die Option PEM / CRT aus und klicken auf Exportieren. Das Zertifikat wird im Format *.crt abgespeichert. | Info |
|---|
In LCOS FX bis einschließlich Version 10.6 wird das Zertifikat im Format *.pem gespeichert, In diesem Fall muss die Datei-Endung händisch in *.crt geändert werden. |
 Image Added77. Benennen Sie diese Datei nach dem Speichern in eine *.crt-Datei um. Per Doppelklick müssen Sie das Zertifikat dann in Ihrem Windows-Betriebssystem installieren. Wichtig ist dabei, dass Sie das Zertifikat in dem Speicher "Vertrauenswürdige Stammzertifizierungsstellen" installieren.  8. Wechseln Sie in der Konfigurationsoberfläche der Firewall in das Menü Firewall Access → Firewall-> Zugriff → Webclient settings-Einstellungen.  Image Added9. Wählen Sie als Webclient-Zertifikat das im in Schritt 4 erstellte „WebGUI-Zertifikat“ aus und klicken Sie . erstellte Zertifikat für das Webinterface aus (in diesem Beispiel WebGUI-Zertifikat), tragen das zugehörige Private-Key-Passwort ein und klicken auf Speichern.  Image Removed Image Added10. Starten Sie anschließend Ihr Windows-Betriebssystem einmal neu. | 